# Modelle

Modelle sind zuständig für die KI-basierte Überwachung von Hosts, basierend auf zuvor erstellten [Tracern](/docs/manual/bedienung-der-plattform/hosts/tracer.md). 

Pro Tracer wird für jeden zugeordneten Host ein entsprechendes KI-Modell erstellt und trainiert. Während der Trainingsphase ermittelt das Modell, was über einen gewissen Zeitverlauf hinweg für die überwachte Metrik als Normalwert gilt. 

Basierend auf diesen Daten kann das KI-Modell nach Abschluss des Trainingszeitraums automatisiert Abweichungen vom Normalwert zu erkennen, die auf einen möglichen Angriff hindeuten können. 

{% hint style="warning" %}
**Bitte beachte**: Es sind mindestens sieben Tage an Daten nötig, damit ein KI-Modell zeitliche Muster erkennen und basierend darauf Anomalien entdecken kann. Wir empfehlen einen Trainingszeitraum von mindestens vier Wochen, um eine aussagekräftige Datenbasis zu schaffen. 
{% endhint %}

{% hint style="danger" %}
**Bitte beachte**: Wird der Datenhorizont für deine KI-Modelle auch nach mehreren Tagen noch als unzureichend (**Insufficient**) angezeigt, kann dies an einer zu kurz eingestellten Speicherzeit (Time-to-Live; TTL) für Log-Einträge im Loggernaut liegen. In diesem Fall musst du die TTL entsprechend verlängern.
{% endhint %}

{% hint style="success" icon="lightbulb" %}
Mehr Informationen, wie du die Speicherzeiten von Log-Einträgen verändern kannst, findest du in unserer Knowledge Base: [Wie kann ich die Speicherzeiten meiner Enginsight Logs anpassen?](https://docs.enginsight.com/docs/knowledge-base/logging/wie-kann-ich-die-speicherzeiten-meiner-enginsight-logs-anpassen)
{% endhint %}

***

<i class="fa-compass">:compass:</i> Navigiere zu **Hosts** → **Tracer** → **Modelle**, um eine Auflistung aller KI-Modelle pro Tracer und Host anzuzeigen. Wenn du noch keinen Tracer erstellt hast, um ein Modell zu trainieren, ist diese Ansicht leer.

<figure><img src="/files/32YV1pkggcgZGSmVjBCp" alt=""><figcaption></figcaption></figure>

Du kannst der [Modelle-Übersicht](#modelle-ubersicht) unter anderem entnehmen:

* welcher Tracer für die Erstellung des Modells herangezogen wird.
* welche Metrik auf welchem Host KI-basiert überwacht wird.

Des Weiteren hast du hier die Möglichkeit, KI-Modelle zu [aktivieren oder deaktivieren](#weitere-aktionen-fur-listenelemente).

***

## Navigation

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <i class="fa-magnifying-glass">:magnifying-glass:</i> **Freitextsuche** oberhalb der Liste und gib einen frei gewählten Suchbegriff ein, um bestimmte Listenelemente zu finden.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Aktualisieren**-Symbol <i class="fa-arrows-rotate-reverse">:arrows-rotate-reverse:</i> oberhalb der Liste, um alle Listenelemente zu aktualisieren.

<i class="fa-computer-mouse-scrollwheel">:computer-mouse-scrollwheel:</i> Scrolle in der Liste nach unten oder passe die Ergebnisanzeige pro Seite an: ![](/files/2OyJnQuiS9EayPZHDbB3) um weitere Einträge in der Liste zu sehen.\
Nutze die Seitennavigation: ![](/files/IWrRD7h50XDr2neLTKmC) um zwischen mehreren Seiten zu wechseln.&#x20;

### Liste filtern

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Filtern**-Symbol <i class="fa-filter">:filter:</i> oberhalb der Liste, um die Liste nach vordefinierten Parametern zu filtern.

<details>

<summary>Verfügbare Filter</summary>

<table><thead><tr><th width="206.60546875">Parameter</th><th width="116.515625">Art</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Aktiviert</td><td>Boolescher Wert</td><td><p>Filtere danach, ob ein Modell aktiviert ist oder nicht.<br><br>Folgende Werte stehen zur Verfügung:</p><ul><li><strong>True</strong>: Das Modell sucht aktiv nach Anomalien.</li><li><strong>False</strong>: Das Modell ist deaktiviert.</li></ul></td></tr><tr><td>Feldname</td><td>String</td><td>Filtere nach einer bestimmten Metrik, die im Zeitreihenverlauf überwacht und analysiert wird, oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren Metriken angezeigt.</td></tr><tr><td>Referenz</td><td>String</td><td>Filtere nach einem bestimmten Host, der überwacht und analysiert wird, oder schließe diesen aus den Ergebnissen aus. Es werden alle verfügbaren Hosts angezeigt.</td></tr><tr><td>Status</td><td>String</td><td>Filtere nach einem bestimmten Status der Trainingsphase des Modells oder schließe dieses aus den Ergebnissen aus. Es werden alle verfügbaren Status angezeigt.</td></tr></tbody></table>

</details>

### Listenelemente sortieren

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke im Tabellenkopf auf das **Sortieren**-Symbol <i class="fa-sort">:sort:</i> neben einem Spaltennamen, um nach der jeweiligen Spalte in aufsteigender Reihenfolge <i class="fa-angle-up">:angle-up:</i> oder in absteigender Reihenfolge <i class="fa-chevron-down">:chevron-down:</i> zu sortieren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Sortieren**-Symbol <i class="fa-bars-sort">:bars-sort:</i> oberhalb der Liste, um die Priorität der vorgenommenen Sortierung anzupassen. Es öffnet sich ein Menü, in dem alle Spalten angezeigt werden, nach denen die Liste sortiert ist. Verschiebe die angezeigten Elemente per Drag-and-Drop, um die Sortierpriorität zu ändern.

### Weitere Aktionen für Listenelemente

<i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben einem Listenelement, um das entsprechende Element auszuwählen. Oder setze einen Haken in die Checkbox im Tabellenkopf, um alle Listenelemente gemeinsam auszuwählen.&#x20;

Neben dem Suchfeld erscheint nun die Anzahl der ausgewählten Listenelemente.

Zudem erscheint das Menü <i class="fa-slider">:slider:</i> **Aktionen** in der rechten oberen Ecke. Klicke darauf, um das dazugehörige Untermenü auszuklappen. Folgende Aktionen stehen zur Verfügung:

<table><thead><tr><th width="149.84375">Aktion</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Aktivieren</td><td><p><i class="fa-eye">:eye:</i> Diese Aktion ist nur klickbar, wenn ausschließlich inaktive Modelle ausgewählt sind.</p><p></p><p>Aktiviere alle inaktiven Modelle.</p><div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p><strong>Bitte beachte</strong>: Es sind mindestens sieben Tage an Daten nötig, damit ein KI-Modell zeitliche Muster erkennen und basierend darauf Anomalien entdecken kann. Wir empfehlen eine Datenbasis von mindestens vier Wochen für eine zuverlässige Erkennung von Anomalien.</p></div></td></tr><tr><td>Deaktivieren</td><td><i class="fa-eye">:eye:</i> Diese Aktion ist nur klickbar, wenn ausschließlich aktive Modelle ausgewählt sind.<br><br>Deaktiviere alle aktiven Modelle.</td></tr></tbody></table>

***

## Modelle: Übersicht

<figure><img src="/files/Ibf5n4tF5D3e6DFFWoPu" alt=""><figcaption></figcaption></figure>

Die Modelle-Übersicht ist als tabellarische Liste aufgebaut. Du kannst der Liste folgende Informationen entnehmen:

<table><thead><tr><th width="200.3125">Spalte</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Name</td><td>Zeigt den benutzerdefinierten Namen für den Tracer, auf dem das Modell basiert. Zudem werden Erstelldatum und -uhrzeit sowie letztes Bearbeitungsdatum und -uhrzeit angezeigt.</td></tr><tr><td>Status</td><td><p>Zeigt den Status der Trainingsphase des Modells.<br></p><p>Folgende Status stehen zur Verfügung:</p><ul><li><strong>Error</strong>: Während der Trainingsphase ist ein Fehler passiert. Das Training wurde angehalten.</li><li><strong>Finished</strong>: Die Trainingsphase ist abgeschlossen.</li><li><strong>Inactive</strong>: Es findet kein Training statt, da das Modell deaktiviert ist.</li><li><strong>Insufficient</strong>: Die Trainingsphase läuft noch, da der Datenhorizont noch nicht ausreichend ist.</li></ul><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Wird der Datenhorizont für deine KI-Modelle auch nach mehreren Tagen noch als unzureichend (<strong>Insufficient</strong>) angezeigt, kann dies an einer zu kurz eingestellten Speicherzeit (Time-to-Live; TTL) für Log-Einträge im Loggernaut liegen. In diesem Fall musst du die TTL entsprechend verlängern.</p></div><div data-gb-custom-block data-tag="hint" data-style="success" data-icon="lightbulb" class="hint hint-success"><p>Mehr Informationen, wie du die Speicherzeiten von Log-Einträgen verändern kannst, findest du in unserer Knowledge Base: <a href="https://docs.enginsight.com/docs/knowledge-base/logging/wie-kann-ich-die-speicherzeiten-meiner-enginsight-logs-anpassen">Wie kann ich die Speicherzeiten meiner Enginsight Logs anpassen?</a></p></div></td></tr><tr><td>Referenz</td><td>Zeigt den Namen des Hosts, den das Modell überwacht und analysiert.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf einen Host-Namen, um zur jeweiligen <a href="/pages/2A0M45TxgQaeD6tpDIkK">Host-Detailansicht</a> zu navigieren.</td></tr><tr><td>Feldname</td><td>Zeigt den Namen der Metrik, die im Zeitreihenverlauf überwacht und analysiert wird.</td></tr><tr><td>Aktiviert</td><td>Zeigt an, ob das Modell aktiv nach Anomalien sucht oder ob es deaktiviert ist.<br><br>Ist das Modell aktiviert, wird dies mit einem grünen <strong>Check</strong>-Symbol <i class="fa-circle-check" style="color:green;">:circle-check:</i> angezeigt. Deaktivierte Modelle werden mit einem roten <strong>Kreis</strong>-Symbol <i class="fa-circle" style="color:red;">:circle:</i> angezeigt.</td></tr></tbody></table>

***

## Modell: Detailansicht

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf die **Namen**-Spalte eines Listenelements, um zur [Detailansicht der überwachten Metrik auf dem entsprechenden Host](/docs/manual/bedienung-der-plattform/hosts/tracer/modelle/modell-detailansicht.md) zu navigieren.

***

## Weitere Ressourcen

**Knowledge Base**

* [Wie kann ich die Speicherzeiten meiner Enginsight Logs anpassen?](https://docs.enginsight.com/docs/knowledge-base/logging/wie-kann-ich-die-speicherzeiten-meiner-enginsight-logs-anpassen)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/hosts/tracer/modelle.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.